Auteur Topic: Cloudserver op apart VLAN?  (gelezen 1525 keer)

Offline dirklammers

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 128
  • Berichten: 1.033
Cloudserver op apart VLAN?
« Gepost op: 30 juni 2024, 17:25:04 »
Ik heb ten behoeve van ca. 20 medegebruikers op een dedicated DS220+ een Synology Cloudserver draaien.
Die is benaderbaar op een specifiek domein dat gekoppeld is aan mijn externe IP-adres.
In 2600-router is een portforwarding ingesteld van poort 443 naar het interne IP-adres van de DS220+.

In theorie komt dus een gebruiker op mijn eigen lokale LAN terecht zij het, dat men natuurlijk gelijk wordt doorgestuurd naar de DS220+.

Nu vraag ik me af of dat een veiligheidsrisico is. Anders gezegd, kan ik de tweede netwerkpoort van de DS220+ niet beter aan een apart VLAN koppelen en dan poort 443 direct door laten wijzen naar het interne IP-adres op dit aparte VLAN?

Groet, Dirk
DS1821+ met 8 X WD30EFZX in SHR-2 configuratie BTRFS als fileserver
DS923+ met nu nog allegaartje van 4 schijven VPN/SS/Backup/Caldav/Carddav
DS118 met WD20EFRX als test-NAS
DS220+ als Cloudserver
DS220+ als backupserver

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: Cloudserver op apart VLAN?
« Reactie #1 Gepost op: 30 juni 2024, 19:05:00 »
Zoals je aangeeft worden gebruikers direct naar de NAS doorgestuurd.
(Instellingen met Port Forwarding en juiste firewall regels).  Dus ergens anders kunnen ze daarmee niet komen.
Er vanuit gaande dat je iets als  Drive (DSM 7)  of  Cloud Server (DSM 6.2)  gebruikt.  Dat is gewoon veilig.

En heb je aan poort 443 daarbij genoeg?
Bijv. voor Synology Drive Server, heb je mogelijk ook poort 6690 (bestandssynchronisatie/back-up) nodig?
https://kb.synology.com/nl-nl/DSM/tutorial/What_network_ports_are_used_by_Synology_services

Maar "als je wilt", zou je dat ook kunnen bewerkstelligen via een apart VLAN, met netwerkverbinding naar de 2e LAN-poort van je NAS.
Kost je wel een extra LAN-poort van de router, of managed switch die je als zodanig instelt.

Tenzij je een VPN-verbinding zou hebben afgestemd.  (Poort 443 zou daarbij voor Synology SSL VPN gebruikt kunnen worden).
Dan kunnen je medegebruikers ook andere thuisnetwerk apparaten bereiken.



En voor degene die juist op zoek zijn naar een connectiemethode om ook de andere netwerk thuis-apparaten te willen bereiken.
Al helemaal als je specifiek het eerder genoemde Synology SSL VPN protocol inzet, en dan via de volgende methode.
https://www.synology-forum.nl/synology-router/ipv6-ondersteuning-synology-routers/msg328235/#msg328235

Verder naar beneden scrollen, vanaf de tekst:

        Synology SSL
        Dit VPN protocol biedt daarbij nog een extra functionaliteit, die geen van de andere VPN protocollen heeft.
        Met bijv. keus van het primair netwerk voor VPN.


Daarbij verschijnen zelfs die "andere netwerk apparaten" van het thuisnetwerk bij de netwerkverbindingen bij de VPN Client
"extra" in diens eigen thuisnetwerk.  (Zie de plaatjes bij dat andere onderwerp).
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline dirklammers

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 128
  • Berichten: 1.033
Re: Cloudserver op apart VLAN?
« Reactie #2 Gepost op: 30 juni 2024, 19:35:54 »
Dank voor je reactie. Geen risico’s dus in de huidige situatie. De oplossing via een apart VLAN benoem ik dan maar als een “technische aardigheid” die niet echt toegevoegde waarde heeft maar wel resources kost in de vorm van een extra VLAN en een poort in de managed switch.

Groet, Dirk
DS1821+ met 8 X WD30EFZX in SHR-2 configuratie BTRFS als fileserver
DS923+ met nu nog allegaartje van 4 schijven VPN/SS/Backup/Caldav/Carddav
DS118 met WD20EFRX als test-NAS
DS220+ als Cloudserver
DS220+ als backupserver

Offline DSGebruiker

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 5
  • -Ontvangen: 119
  • Berichten: 762
Re: Cloudserver op apart VLAN?
« Reactie #3 Gepost op: 30 juni 2024, 22:05:17 »
Zolang je geen aparte NAS in een VLAN kan hangen heeft het weinig meerwaarde.
Stel dat ik je NAS zou "overnemen" en die NAS heeft 1 interface in je aparte VLAN en de andere netwerk-card hangt gewoon in je thuisLAN ... tja ... dan heb ik  gewoon toegang tot je thuisLAN. Geen meerwaarde om die in aparte VLAN gehangen te hebben.

Offline dirklammers

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 128
  • Berichten: 1.033
Re: Cloudserver op apart VLAN?
« Reactie #4 Gepost op: 04 juli 2024, 15:43:56 »
Het feit dat die twee LAN's op dezelfde NAS samenkomen is dus per definitie een zwak punt in de beveiliging?

Groet, Dirk
DS1821+ met 8 X WD30EFZX in SHR-2 configuratie BTRFS als fileserver
DS923+ met nu nog allegaartje van 4 schijven VPN/SS/Backup/Caldav/Carddav
DS118 met WD20EFRX als test-NAS
DS220+ als Cloudserver
DS220+ als backupserver

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: Cloudserver op apart VLAN?
« Reactie #5 Gepost op: 04 juli 2024, 19:47:32 »
Nee, niet "per definitie".
Zolang geen admin account van een NAS is gekraakt, valt er weinig over te nemen.
Er zijn allerlei in te stellen extra beveiligingsmaatregelen die dat kunnen voorkomen.

Bovendien schrijf je dat je poort 443 gebruikt voor toegang tot een cloud server?
Dat is geen poort die voor het DSM NAS management wordt ingezet.

Dus het komt erop aan welke services van buitenaf je openstelt "per VLAN / netwerk", en welke niet.

Bovendien hebben andere apparaten in een netwerk doorgaans ook hun eigen login en wachtwoord.
Die zouden dus ook gekraakt moeten worden.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline DSGebruiker

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 5
  • -Ontvangen: 119
  • Berichten: 762
Re: Cloudserver op apart VLAN?
« Reactie #6 Gepost op: 04 juli 2024, 21:51:27 »
Citaat
Zolang geen admin account van een NAS is gekraakt, valt er weinig over te nemen.
Er zijn allerlei in te stellen extra beveiligingsmaatregelen die dat kunnen voorkomen.

Niet noodzakelijk. Je moet niet alleen denken in termen van "inloggen". Vb stel dat je (cloud)webservice dmv een exploit of 1 of andere overflow plots wat dingen gaat toelaten (of je kan er ineens een shell aanroepen oid of elevated commando's uitvoeren etc,etc)

Als je Synology apps gebruikt zijn die zeker goed getest op allerlei vlakken, maar een 3e party zou wel eens een issue kunnen hebben en een "gaatje" laten.

Maar in realiteit loopt het allemaal zo'n vaart niet en zijn 99.9999% van dit soort dingen eerder academische security (non)issues.

Dual-homed hosts is iets dat we in de praktijk ook wel doen, zolang je accountmanagement, algemene hardening, logging etc goed zit.